Linux安全配置标准.doc

页 2 Linux安全配置标准 一.目的 《Linux安全配置标准》是Qunar信息系统安全标准的一部分，主要目的是根据信息安全管理政策的要求，为我司的Linux系统提供配置基准，并作为Linux系统设计、实施及维护的技术和安全参考依据。 二.范围 安全标准所有条款默认适用于所有Linux系统，某些特殊的会明确指定适用范围。 三.内容 3.1 软件版本及升级策略 操作系统内核及各应用软件，默认采用较新的稳定版本，不开启自动更新功能。安全组负责跟踪厂商发布的相关安全补丁，评估是否进行升级。 3.2 账户及口令管理 3.2.1 远程登录帐号管理 符合以下条件之一的，属"可远程登录帐号"： (1) 设置了密码，且帐号处于未锁定状态。 (2) 在$HOME/.ssh/authorized_keys放置了public key "可远程登录帐号"的管理要求为： (1) 帐号命名格式与邮件命名格式保持一致 (2) 不允许多人共用一个帐号，不允许一人有多个帐号。 (3) 每个帐号均需有明确的属主，离职人员帐号应当天清除。 (4) 特殊帐号需向安全组报批 3.2.2 守护进程帐号管理 守护进程启动帐号管理要求 (1) 应建立独立帐号，禁止赋予sudo权限，禁止加入root或wheel等高权限组。 (2) 禁止使用"可远程登录帐号"启动守护进程 (3) 禁止使用root帐号启动WEB SERVER/DB等守护进程。 3.2.3 系统默认帐号管理（仅适用于财务管理重点关注系统） 删除默认的帐号，包括：lp,sync,shutdown, halt, news, uucp, operator, games, gopher等 3.2.4 口令管理 口令管理应遵循《密码口令管理制度》，具体要求为 (1) 启用密码策略 /etc/login.defs PASS_MAX_DAYS 90 PASS_MIN_DAYS 1 PASS_MIN_LEN 7 PASS_WARN_AGE 7 /etc/pam.d/system-auth password sufficient pam_unix.so ** remember=5 password requisite pam_cracklib.so ** minlen=7 lcredit=1 ucredit=1 dcredit=1 ocredit=0 (2) 启用帐号锁定策略，连续输错3次口令，锁定用户30分钟 /etc/pam.d/system-auth auth required pam_env.so auth required pam_tally2.so deny=3 unlock_time=1800 3.2.5 OpenSSH安全配置 只使用协议版本2，禁止root登录，禁止空口令登录，独立记录日志到/var/log/secure。具体配置为： /etc/ssh/sshd_config #default is 2,1 Protocol 2 #default is yes PermitRootLogin no #default is no PermitEmptyPasswords no #default is AUTH SyslogFacility AUTHPRIV 3.3 认证授权 3.3.1 远程管理方式 (1) 默认仅允许ssh一种远程管理方式，禁止使用telnet、rlogin等，如存在以下文件，必须删除： $HOME/.rhosts /etc/hosts.equiv /etc/xinetd.d/rsh /etc/xinetd.d/rlogin (2) 跳板机只允许RSA TOKEN方式登录，其它Linux服务器只允许通过密码和public key方式登录。 (3) 生产环境Linux服务器，只允许来自跳板机和其它指定IP的登录，通过tcp warp实现。生产环境范围由安全组指定，允许登录的IP源由安全组指定。BETA/DEV环境登录限制同生产环境。 3.3.2 其它（仅适用于财务管理重点关注系统） (1) 仅允许非wheel组用户通过远程管理，配置方法： /etc/security/access.conf -:wheel:ALL EXCEPT LOCAL .win.tue.nl /etc/pam.d/sshd account required pam_access.so (2) 限制普通用户控制台访问权限 禁止普通用户在控制台执行shutdown、halt以及reboot等命令。 rm -f /etc/security/console.apps/reboot rm -f /etc/security/console.apps/halt rm -f /etc/security/console.apps/shutdown rm -f /etc/security/console.apps/poweroff 3.4 其它 3.4.1 关键文件权限（仅适用于财务管理重点关注系统）  将以下文件设置为600权限 /$HOME/.bash_logout /$HOME/.bash_profile /$HOME/.bashrc 3.4.2 日志管理 开启以下行为日志：用户登录日志、crontab执行日志 配置方法： /etc/syslog.conf authpriv.* /var/log/secure cron.* /var/log/cron 对于PCI DSS覆盖范围内的系统，所有日志应实时发送到集中的日志管理服务器，并确保由程序自动分析与告警。 3.4.3 用户界面TIMEOUT 设置用户30分钟无操作自动退出。设置方法： /etc/profile TMOUT=1800 对于PCI DSS以及SOX404范围内的系统，空闲超时时间需设置为15分钟。 3.4.4 设置NTP时间同步，确保各服务器时间保持一致 配置同机房的自行运维的NTP服务器为NTP源。 示例（每个机房可能不一样）： driftfile /var/db/ntp.drift pidfile /var/run/ntpd.pid server 192.168.0.117 server 192.168.0.78 server 192.168.0.77 restrict default ignore restrict 127.0.0.1 restrict 192.168.0.0 mask 255.255.0.0 nomodify restrict 192.168.0.117 restrict 192.168.0.78 restrict 192.168.0.77 内部NTP服务必须采用行业认可的NTP源。 示例： server 133.100.9.2 minpoll 4 maxpoll 8 iburst burst prefer server 140.112.4.189 minpoll 4 maxpoll 8 iburst burst prefer server 128.250.33.242 minpoll 4 maxpoll 8 iburst burst prefer server 216.218.254.202 minpoll 4 maxpoll 8 iburst burst prefer server 209.51.161.238 minpoll 4 maxpoll 8 iburst burst prefer server 218.21.130.42 minpoll 4 maxpoll 8 iburst burst prefer server 202.130.120.114 minpoll 4 maxpoll 8 iburst burst prefer server 66.187.233.4 minpoll 4 maxpoll 8 iburst burst prefer server 210.72.145.44 minpoll 4 maxpoll 8 iburst burst prefer server 209.81.9.7 minpoll 4 maxpoll 8 iburst burst prefer # individual servers restrict default ignore restrict 133.100.9.2 restrict 140.112.4.189 restrict 128.250.33.242 restrict 216.218.254.202 restrict 209.51.161.238 restrict 218.21.130.42 restrict 202.130.120.114 restrict 66.187.233.4 restrict 210.72.145.44 restrict 209.81.9.7 3.4.5 禁止安装/运行不必要的服务 当前禁止安装/运行的服务列表为 nfs samba telnet rsh-server 3.4.6 安装防病毒软件（仅适用于PCI DSS范围内系统） 安装经安全组认可的防病毒软件。 每周至少升级一次防病毒定义，并使用最新定义执行系统扫描。升级以及定期扫描应设置为自动执行任务。对于扫描出来的结果只告警，由安全组成员手工清除病毒，禁止设置自动删除。 扫描范围至少包括： • bin • sbin • home • lib • lib64 • opt • usr • var 如果日志（系统、应用）目录被包含于以上目录，需做排除处理。 3.4.7 安装完整性检测工具（仅适用于PCI DSS范围内系统） 由安全组安装文件完整性检测工具，确保以下文件被篡改时及时告警： • 所有日志文件 • /etc/profile.d • /etc/inittab • /etc/sysconfig/init • /etc/hosts.allow • /etc/hosts.deny • /etc/modprobe.conf • /etc/ntp.conf • /etc/snmp/snmpd.conf • /etc/ssh/ssh_config • /etc/ssh/sshd_config • /etc/ssh/ssh_host_key • /etc/sysctl.conf • /etc/syslog.conf • /etc/grub.conf • /etc/shadow • /etc/sudoers • /etc/group • /etc/passwd • /etc/login.defs • /etc/securetty 3.4.8 memcached安全配置 memcached统一监听在以下端口之一：6666/11211/11212/11213，安全组将在网络边界对这些端口实施访问控制。 memcached应以nobody权限启用，禁止使用root权限启动。 3.4.9 rsyncd安全配置 rsyncd配置必须符合以下安全要求 配置项  默认配置  要求配置  list  默认为true，即允许枚举模块列表。注意：通过帐号认证和ACL无法限制枚举行为。  在全局配置设置为false或no  auth_users  默认为空，即允许匿名访问，不需要帐号密码认证。  应建立帐号/密码进行认证，密码必须符合复杂度要求  hosts_allow  默认为空，即允许从任意源IP访问。  应精确限制可访问的源IP或主机名，禁止设置整个网段。  3.4.10 WEB目录下禁止存放危险文件 WEB目录下禁止存在以下类型的危险文件： • 各种类型的压缩文件，如：zip|gz|tgz|bz|7z|tar|rar|arj|bz2|bzip2|cab|cpio|gzip|lzh|lha|iso|lzma|taz|tbz|tbz2|tpz|xar|z|xz • 各种类型的备份或临时文件，如：bak|back|backup|old|tmp|ext~|orig|save • 各种类型的sql和日志文件，如：sql|log • 各种类型的版本管理特殊文件，如：.svn|.git 少量特殊的请联系安全组加白名单